Эксперты по кибербезопасности отмечают волну атак на финансовые компании в разных странах Африки, стартовавшую минимум с июля 2023 года. Для проникновения и удержания контроля злоумышленники используют наборы открытых и общедоступных инструментов.
Подразделение Unit 42 компании Palo Alto Networks следит за этими атаками, обозначенными как CL-CRI-1014 — где «CL» означает «кластер», а «CRI» — «преступная мотивация».
CL-CRI-1014
По предварительным данным, основная цель злоумышленников — получить первичный доступ к системам, который затем продается другим преступным группам на теневых форумах, превращая этих хакеров в своего рода брокеров доступа (IAB).
«Злоумышленники подделывают цифровые подписи файлов, используя образцы легитимных приложений, чтобы скрыть свои инструменты и замаскировать вредоносную активность», — рассказывают исследователи Том Фактерман и Гай Леви. «Это довольно распространённая практика при попытках обойти защиту.»
Типичной чертой атак стало применение таких программ, как PoshC2 для управления заражёнными компьютерами (command-and-control, C2), Chisel для создания сетевых туннелей и Classroom Spy для удалённого администрирования.
Точная техника первичного проникновения пока неизвестна, однако после закрепления злоумышленники устанавливают MeshCentral Agent, затем Classroom Spy для управления устройствами, а также Chisel для обхода межсетевых экранов и распространения PoshC2 на другие компьютеры с Windows в сети.
Для маскировки вредоносных компонентов они используют иконки известных программ, например Microsoft Teams, Palo Alto Networks Cortex и Broadcom VMware Tools. PoshC2 в системе удерживается тремя способами:
- Создание системной службы;
- Размещение ярлыка (файл LNK) в папке автозагрузки;
- Настройка планировщика задач с названием «Palo Alto Cortex Services».
В некоторых случаях злоумышленники похищают учетные данные пользователей, чтобы через PoshC2 организовать прокси-сервер для скрытого обмена данными.
«PoshC2 умеет подключаться к серверу управления через прокси, и, судя по всему, злоумышленники адаптировали отдельные компоненты под конкретные задачи», — отмечают исследователи.
Стоит отметить, что инструментарий PoshC2 уже использовался в похожих атаках на финансовый сектор Африки. В сентябре 2022 года компания Check Point раскрыла фишинговую кампанию DangerousSavanna, нацеленную на банки и страховые компании в Кот-д’Ивуаре, Марокко, Камеруне, Сенегале и Того, с доставкой вредоносного ПО Metasploit, PoshC2, DWservice и AsyncRAT.
В то же время подразделение Trustwave SpiderLabs сообщило о появлении новой группы вымогателей Dire Wolf, которая с момента своего появления в прошлом месяце атаковала 16 компаний в США, Таиланде, Тайване, Австралии, Бахрейне, Канаде, Индии, Италии, Перу и Сингапуре. Главными мишенями стали IT-компании, а также предприятия промышленного и финансового секторов.
Исследователи выяснили, что вредоносное ПО Dire Wolf написано на языке Go и умеет отключать системный журнал, завершать работу 75 служб и 59 приложений, а также удалять теневые копии для осложнения восстановления системы.
«Хотя методы начального проникновения, разведки и перемещений по сети пока неизвестны, организациям советуют соблюдать базовые правила информационной безопасности и внимательно отслеживать описанное поведение», — рекомендуют эксперты.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru